imperativo de las organizaciones - isaca.org · imperativo de las organizaciones: ¿solo cumplir o...
TRANSCRIPT
Imperativo de las
Organizaciones: ¿Solo Cumplir o Empoderar a las
personas para actuar
prudentemente ante la inseguridad
de la información?
Reynaldo C. de la Fuente
2
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Temario
Un poco de terapia de grupo.
Una Tesis.
Cumplimiento – Riesgo – Gobierno.
Empoderar a las Personas.
Empoderar a los Clientes.
Reportar Incidentes.
Mejora Continua.
Conclusiones.
3
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Un poco de terapia de grupo…
Afirmaciones Varias:
– Esta charla no es para mi, es para mi jefe.
– A nuestros clientes no les preocupa la seguridad.
– Si mañana tenemos un incidente no tendría un impacto importante para nuestra
organización….
– ¡Pero así no puedo trabajar!
– El nivel de capacitación y concientización de nuestros clientes NO es nuestra responsabilidad.
Algunas Preguntas
– ¿Al final todo se reduce a cumplir requisitos?
– ¿Son suficientes los requisitos de seguridad que están obligados a cumplir las instituciones que
manejan datos personales, financieros, de salud en Uruguay y la región o acaso debemos
definirnos metas más altas, alineadas a valores fundamentales, considerando las expectativas de
todas las partes interesadas?
– ¿Qué tan complejas de usar son las herramientas de seguridad que les estamos brindando a las
personas? ¿Les hemos dado una adecuada difusión y capacitación? ¿Son eficientes y eficaces?
4
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Una Tesis..
Para lograr un adecuado proceso de mejora en materia de seguridad de la información no es
suficiente con considerar los marcos de Cumplimiento.
Las organizaciones deben asumir una posición proactiva, basada en el GOBIERNO de la Seguridad,
que considere su responsabilidad empresarial, y que tenga como uno de sus pilares el empoderar a
todas las personas involucradas para con la seguridad de la información.
Por empoderar a las personas debemos, al menos:
a) Brindar una adecuada transferencia de conocimiento en materia de seguridad de la
información, que les permita comprender la realidad tal cual es, así como sus roles y
responsabilidades.
b) Brindarle herramientas de seguridad eficaces que le permitan mantener los niveles de
eficiencia operativos requeridos para las tareas que desempeñan.
c) Incorporar en los procesos de gestión correspondientes, el alineamiento entre los objetivos
de gestión de los sectores, las personas y los objetivos de seguridad establecidos.
5
Cumplimiento – Gobierno – Riesgo – Cumplimiento – Riesgo –
Cumplimiento
A la hora de recorrer un camino de mejora de la
seguridad de la información los procesos
comienzan en muchas organizaciones por la
necesidad de CUMPLIR con marcos obligatorios
y voluntarios.
Es importante que este proceso evolucione
desde una necesidad de CUMPLIMIENTO, a una
visión de GESTION DE RIESGOS, GOBIERNO Y
GESTION de la seguridad, y de
RESPONSABILDIAD CORPORATIVA.
El CUMPIMIENTO, idealmente, debería ser uno
de los resultado logrados, y no un objetivo en si
mismo.
¿Qué camino recorren las organizaciones?
Cumplimiento.
Gestión de Riesgos.
Gobierno Corporativo.
6
Cumplimiento…
Los marcos de Cumplimiento Voluntarios o
Obligatorios establecen herramientas para
empoderar a las personas.
No obstante, no en muchos casos se establece
de una forma explícita que lleve a una
implementación efectiva.
Aspectos normalmente cubiertos:
Compromiso y Responsabilidad de la
Dirección.
Formalización de Roles y
Responsabilidades.
Concientización del Personal.
Responsabilidad de los usuarios.
ERM
COBIT
27001 / PCI-DSS
Regulador
Protección de Datos
7
Gestión de Riesgos.
Probabilidad – Impacto….Personas
Un gran número de Riesgos de Seguridad de la
Información tiene una relación directa con el
grado de empoderamiento de las personas
frente a la seguridad.
Existen diversos escenarios de riesgos para los
cuales no existen un control técnico efectivo.
Una vez superados los requisitos básicos de
CUMPLIMIENTO, diversos Riesgos de
seguridad podrían encontrase en niveles de ser
ACEPTADOS.
No deberían serlo sin antes considerar todas
las implicancias y el impacto sobre todas las
PERSONAS involucradas.
8
Gestión de Riesgos.
Sony, in total, anticipates spending $35 million “restoring financial and IT systems” for the full
fiscal year. Further writing off the breach’s monetary ramifications, the company
forecasts: “Sony believes that the impact of the cyberattack on its consolidated results for
the fiscal year ending March 31, 2015 will not be material.”
These numbers are likely not small enough to vindicate Sony Pictures’ former executive
director of information security. In 2007, he told CIO Magazine that “‘it’s a valid business
decision to accept the risk’ of a security breach…I will not invest $10 million to avoid a
possible $1 million loss.” But Dean’s analysis does come alarmingly close to making the
minimal effort-stance a defensible position.
9
Gobierno de la Seguridad de la Información
El gobierno de la seguridad de la información debe alinear los
objetivos y estrategias de la seguridad de la información con:
los objetivos y estrategias del negocio,
así como con los requisitos de cumplimiento legal,
regulatorio o contractual.
A su vez, este proceso debe ser evaluado, analizado e
implementado por medio de un enfoque basado en la
gestión de riesgos, soportado por un sistema de control
interno.
La Alta Dirección es el último responsable, y quien rinde cuentas,
por las decisiones y desempeño de la empresa en materia de
seguridad de la información.
Debe buscar asegurar que el enfoque para la seguridad de la
información es eficiente, efectivo, aceptable y alineado con los
objetivos y estrategias de la empresa, así como con las
expectativas de las partes interesadas.
10
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Principios del Gobierno de la Seguridad de la Información
El cumplir con las necesidades de todas las partes interesadas y entregar valor a cada una es
fundamental para el éxito de la seguridad de la información en el largo plazo.
Para lograr el objetivo de gobierno de alinear la seguridad de la información con los objetivos del
negocio y entregar valor a todas las partes interesadas se establecen 6 principios orientados a la
acción:
– Establecer la seguridad de la información a lo largo y ancho de la organización.
– Adoptar un enfoque basado en riesgos.
– La gestión de las inversiones en seguridad.
– Asegurar el cumplimiento con requisitos internos y externos.
– Cultivar un ambiente y cultura positiva de seguridad de la información.
– La revisión del desempeño de la seguridad en relación con los objetivos del negocio.
Empoderar a las Personas
12
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Empoderar a las personas para actuar prudentemente
Empoderar:
Hacer poderoso o fuerte a un individuo o grupo social desfavorecido. (RAE)
Prudencia:
Una de las cuatro virtudes cardinales, que consiste en discernir y distinguir lo que es bueno o
malo, para seguirlo o huir de ello.
Nos permite discernir como las cosas son en la realidad aunque quisiéramos que fueran de otra
manera, actuando en consecuencia.
Para lograrlo:
1 – Debemos alinear claramente el mensaje con los hechos asignado objetivos y
responsabilidades.
2 – Debemos brindar información, capacitación y concientización a todas las personas.
3 – Debemos brindar a las personas herramientas de control eficaces y eficientes.
4 – Debemos medir y actuar en consecuencia.
13
Alinear asignando objetivos y responsabilidades
La Alta dirección debe comprender su rol y
responsabilidad.
En los objetivos y metas anuales de los sectores y las
personas, se deben incluir las responsabilidades para con la
seguridad de la Información.
En las evaluaciones de desempeño se deben tener en
cuenta la Seguridad de la Información.
Si la responsabilidad es de todos, esto debe estar
implementado en los hechos.
¿Es acaso razonable esperar un compromiso con la
seguridad cuando estos aspectos no están alienados?
14
Capacitación y Concientización en Seguridad
La Concienciación debe conducir a:
• Mejoras en el comportamiento y actitudes del
personal
• Mejora general de la seguridad de la
organización
• Reducción de acciones no autorizadas por
parte del personal
• Aumento de la efectividad de los controles y
medidas de protección
• Aporte para evitar fraudes, gasto y abuso de
los recursos de la organización
15
Capacitación y Concientización en Seguridad
Concienciación.
Entrenamiento.
Educación.
El personal debe ser consciente de:
Políticas de seguridad, estándares, fundamentos, lineamientos y procedimientos
Riesgos existentes.
Cumplimiento exigido de leyes y regulaciones
Cómo identificar y proteger información sensible o clasificada
Cómo almacenar, etiquetar y transportar información
A quién reportar incidentes de seguridad (sospechados o reales)
El por qué de los diferentes controles y procedimientos implementados.
Cómo utilizar adecuadamente las diferentes herramientas y procedimientos de control
implementados.
Elementos de Comparación Concientización Entrenamiento Educación
Atributo ¿Qué? ¿Cómo? ¿Por qué?
Nivel Información Conocimiento Visión Detallada
Objetivo de Aprendizaje Reconocimiento y Retención Destrezas Entendimiento
Ejemplos de metodología de
enseñanza
Medios (Videos, cartas, afiches,
charlas)
Instrucción practica (lecturas,
caos de estudio, pruebas
practicas
Instrucción practica
(seminarios, grupos
de discusión,
investigación)
Exámenes o pruebas de
medición
Múltiple opción Resolución de problemas Informes
Marco de Tiempo para
resultados
Corto Plazo Mediano plazo Largo Plazo
16
¿A quien concientizamos?
Esta charla no es para mi….
Los primeros que deben recibir
charlas de concientización y
comprender el impacto que puede
tener para ellos un incidente de
seguridad son los Directores y
Gerentes de las organizaciones.
Estas charlas deben involucrar a
todo el personal, al personal de los
proveedores en muchos casos y a
los Clientes en los casos que
corresponda.
Concientización Profunda
Roles Especiales, Miembros de la Dirección.
Concientización Intermedia
Gerencias, Tomadores de Decisiones, Algunos Roles Especiales (Clientes,
Proveedores, otros)
Concientización General.
Todo el Personal.
Los Clientes.
Los Proveedores.
May
or
Rie
sgo
17
Empoderar a los Clientes
Concientizar y brindar herramientas Adecuadas
Los clientes que acceden a los
sistemas de información de las
organizaciones deben ser alertados de
los riesgos existentes, y buenas
prácticas a implementar para la
protección de sus datos de
identificación y autenticación.
Deben ser a su vez informados sobre
sus responsabilidades y ante cualquier
situación que los afecte.
A su vez, las medidas de seguridad
implementadas deben ser acordes con
los riesgos asociados.
18
Empoderar por medio de Herramientas Eficientes y Eficaces.
Al margen del grado de comunicación y
capacitación que se realice, los controles
y procedimientos que se implemente
deben ser eficientes y eficaces.
¿Es razonable depositar toda la
seguridad de una organización en una
CONTRASEÑA?
Al mismo tiempo, ¿es razonable esperar
que las personas utilicen adecuadamente
una herramienta o procedimiento, sobre
el cual no fueron debidamente
informados ni capacitados?
19
Obligación de Reportar Incidentes a las Autoridades y a las
Personas afectadas
La obligación de reportar incidentes de
seguridad que pueden haber afectado
datos personales de clientes o
funcionarios genera diferentes
ESTIMULOS a las organizaciones para
invertir en seguridad de la información.
A su vez, brindan a las personas las
garantías para actuar ante incidentes que
los afecten.
Esto es también parte del
EMPODERAMIENTO de las personas.
The Economics of Mandatory Security Breach Reporting to
Authorities Stefan Laube∗1 , Rainer B¨ohme
20
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
La mejora continua..
La Eficacia de las acciones de EMPODERAMIENTO de las personas (programa de concientización y
capacitación, así como la eficacia de los controles, y su interacción con las personas) debería ser
continuamente evaluado.
Métricas e Indicadores:
– Cantidad de Clientes / Funcionarios Informados, Concientizados, Capacitados.
– Resultado de encuestadas y evaluaciones de comprensión.
– Cantidad de Incidentes Reportados.
– Accesos a Secciones de Educación en Seguridad de nuestros Sitios.
– Cantidad de Reclamos.
– Cantidad de Eventos (Cambios de Contraseñas, usuarios, bloqueos)
– ¿Si el 60% de los llamados de mesa de ayuda son por problemas de contraseñas, que nos esta
diciendo?
Auditorias Internas y Externas.
21
Pensar una frase para
destaque
Completar con alguna
frase? Queda mucho
espacio libre
Conclusiones
Si la organización guía su proceso de mejora de la seguridad únicamente con visión de cumplimiento
obligatorio o voluntarios, NO se logra impactar en la cultura de la organización, ni obtener los niveles de
compromiso requeridos.
Si sus roles y responsabilidades no lo establecen, sus objetivos personales no lo incluyen, y los objetivos de
gestión del sector o la organización como un todo no lo definen, NO es razonable esperar un
compromiso por parte de las personas en materia de seguridad.
Si las herramientas y procesos operativos definidos para la seguridad de la información no son eficaces ni
aportan valor para el logro de los niveles de eficiencia requeridos por las personas, estas tenderán a
buscar o impulsar caminos alternativos.
Las organizaciones deben tener el compromiso de alienarse con Buenas Prácticas probadas y reconocidas
a nivel mundial para la seguridad de la información en virtud del VALOR real que aportan, consiente de su
RESPONSABILIDAD PROFESIONAL Y EMPRESARIA.
La clave está en las personas.
